Tus datos clínicos protegidos con cifrado AES-256 end-to-end
Infraestructura certificada SOC 2 Type II · ISO 27001 · HIPAA-eligible · PCI DSS Level 1
TLS 1.3 obligatorio en todas las conexiones. HTTP Strict Transport Security max-age=31536000; includeSubDomains; preload previene downgrade attacks.
AES-256 automático sobre Cloudflare D1, R2 y KV. Llaves gestionadas por Cloudflare con HSM nivel FIPS 140-2.
Datos clínicos sensibles (alergias, antecedentes, notas, labs) cifrados con AES-GCM 256-bit con IV único por valor. Llave en CF Secret, no accesible al equipo de operación.
Hash bcrypt cost 10 + complejidad obligatoria (8+ chars, mayúscula, minúscula, dígito). Verificación contra hashes $2y$, $2a$ y $2b$.
Implementación nativa de RFC 6238: Google Authenticator, Authy, 1Password. Códigos de 6 dígitos con ventana ±30 segundos. 8 backup codes por usuario en caso de pérdida del dispositivo.
Tokens HS256 con jti único. Blacklist en KV al logout: el mismo token no vuelve a funcionar. Expiración 7 días por defecto.
5 intentos / email y 20 intentos / IP en ventana de 15 minutos. Bloqueo automático. Protección contra brute force, credential stuffing y account enumeration.
Cookie de sesión HttpOnly + Secure + SameSite=None. Inaccesible a JavaScript. Borrado automático en logout.
| Rol | Datos identificativos | Datos clínicos (PHI) | Configuración | Audit logs |
|---|---|---|---|---|
| super_admin | Ver / Editar | Ver / Editar | Ver / Editar | Ver completo |
| nutriologo | Ver / Editar | Ver / Editar | Solo lectura | Solo propios |
| recepcion | Ver (sin fecha nac.) | Enmascarado | No | Solo propios |
Implementado vía FIELD_MASKS[rol][kind] — los campos enmascarados devuelven null a usuarios sin permiso, no se transmiten siquiera al cliente.
NutriGest corre 100% sobre Cloudflare. Heredamos automáticamente sus certificaciones:
| Certificación | Alcance |
|---|---|
| ✅ SOC 2 Type II | Auditado anualmente por Coalfire |
| ✅ ISO 27001 / 27017 / 27018 | Gestión de seguridad de información |
| ✅ PCI DSS Level 1 | Nivel más alto para datos de pago |
| ✅ HIPAA-eligible | Con BAA firmado para tratar PHI |
| ✅ GDPR DPA + SCC | Para clientes en UE |
| ✅ FedRAMP Moderate | Algunos servicios |
| ✅ SSAE 18 / ISAE 3402 | Tipo II |
| ✅ Cyber Essentials Plus (UK) | Para clientes británicos |
| Control | Eleonor | Otros SaaS MX | NutriGest |
|---|---|---|---|
| Cifrado BBDD | RSA 2048 (declarado) | Variable | AES-256 + AES-GCM PHI columna |
| TLS | RSA 1024 (obsoleto) | TLS 1.2 | TLS 1.3 + HSTS preload |
| 2FA / MFA | ❌ | ❌ | ✅ TOTP RFC 6238 |
| Cifrado columna PHI | ❌ | ❌ | ✅ AES-GCM 256 |
| Rate limiting login | ❌ | ❌ | ✅ 5/email + 20/IP |
| Audit trail | ❌ | Parcial | ✅ Inmutable cada acción |
| Field masking por rol | ❌ | ❌ | ✅ |
| Anti-AI scraping | ❌ | ❌ | ✅ Cloaking 37 patrones |
| Compliance SOC 2 / ISO 27001 / HIPAA | Propio | Variable | Heredado de Cloudflare |
| LFPDPPP México | Sí | Variable | ✅ Registrado en INAI |
Conforme a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) tienes derechos ARCO:
Conocer qué datos tenemos sobre ti.
Corregir datos inexactos.
Eliminar tus datos.
Oponerte al uso para finalidades secundarias.
📧 Solicitudes: [email protected]
Si descubres una vulnerabilidad, agradecemos divulgación responsable:
📧 [email protected] (PGP key disponible bajo solicitud)
Compromiso: respuesta en <48h, patch en <30 días según severidad. Reconocemos en nuestro Hall of Fame a investigadores responsables.
Monitoreamos públicamente la disponibilidad de todos nuestros servicios. Check cada minuto, histórico 90 días, sin maquillaje:
Servicios monitoreados:
Puedes auditar nuestras configuraciones de seguridad tú mismo:
NutriGest © 2026 · Operado en Cloudflare global edge
🇲🇽 LFPDPPP · 🇺🇸 HIPAA-eligible · 🇪🇺 GDPR